Squid
Материал из pNp Wiki
Версия от 08:20, 23 мая 2012; 81.28.5.20 (обсуждение)
Squid и авторизация в домене Windows 2008R2
Для успешной авторизации в домене машины со Squid'ом, необходимы следующие условия:
- Наличие внутреннего DNS
- Наличие приямой и обратной записи для контроллера домена
- Наличие прямой и обратной записи для машины со Squid'ом
- Наличие прямой и обратной записи для пользовательских компьютеров
- Синхронизация часов контроллера домена, машины со squid'ом и пользовательских компьютеров с точным временем в интернете, либо локальным NTP сервером
Исходные условия:
- CentOS x64 6.2 с установленным OpenVZ и дополнительным репозиторием EPEL
- Установленный squid из репозитория
- Установленные пакеты:
krb5-libs-1.9-22.el6_2.1.x86_64 squid-3.1.10-1.el6_2.4.x86_64 msktutil-0.4.1-1.el6.x86_64 krb5-workstation-1.9-22.el6_2.1.x86_64
Приводим файл /etc/krb5.conf к такому виду: [logging]
default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.LOCAL dns_lookup_realm = yes dns_lookup_kdc = yes ticket_lifetime = 24h renew_lifetime = 7d forwardable = true kdc_timesync = yes
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
EXAMPLE.LOCAL = {
kdc = example.local
admin_server = example.local
kpasswd_server = example.local
default_domain = example.local
}
При наличии администраторской учетной записи в домене, можно получить билет Кербероса:
kinit andy Password for andy@EXAMPLE.LOCAL:
Полученный билет можно поглядеть командной
klist
